Ataque a Cadena de Suministros

Un ataque a la cadena de suministro es un tipo de ataque cibernético que se dirige a un proveedor externo que ofrece servicios o software vitales para la cadena de suministro de una empresa.  Se pueden definir como ataques contra relaciones de confianza, en los que se ataca a un proveedor no seguro dentro de una cadena para obtener acceso a sus socios comerciales más grandes. 

En ciberseguridad, una cadena de suministro incluye hardware y software, almacenamiento local o en la nube y mecanismos de distribución.

Los ataques a la cadena de suministro de software funcionan mediante la inyección de código malicioso en una aplicación para infectar a todos los usuarios de la misma, mientras que los ataques a la cadena de suministro de hardware comprometen los componentes físicos con el mismo propósito. El malware es la técnica de ataque a la que recurren los ciberatacantes en el 62% de los eventos.

En la actualidad, uno de los mayores riesgos es un ataque a la cadena de suministro de software. Las cadenas de suministro de software son particularmente vulnerables porque el software moderno no se escribe desde cero: más bien, involucra muchos componentes listos para usar, como API de terceros, código fuente abierto y código propietario de proveedores de software. Si una aplicación popular incluye una dependencia comprometida, todas las organizaciones que se descargan del proveedor también se verán comprometidas, por lo que la cantidad de víctimas puede crecer exponencialmente.

Además, el software se reutiliza, por lo que una vulnerabilidad en una aplicación puede vivir más allá del ciclo de vida del software original. El software que carece de una gran comunidad de usuarios es particularmente vulnerable, porque es más probable que una gran comunidad exponga una vulnerabilidad más rápido que un proyecto con pocos seguidores.

Los ataques a la cadena de suministro aprovechan las relaciones de confianza entre diferentes organizaciones. Todas las organizaciones tienen un nivel de confianza implícita en otras empresas, ya que instalan y utilizan el software de la empresa dentro de sus redes o trabajan con ellas como proveedor.

El objetivo del ataque es el eslabón más débil de una cadena de confianza. Si una organización tiene una seguridad cibernética sólida pero tiene un proveedor de confianza inseguro, los atacantes apuntarán a ese proveedor. Con un punto de apoyo en la red del proveedor, los atacantes podrían pasar a la red más segura utilizando esa relación de confianza.

Los ataques a la cadena de suministro están aumentando en un 430 %  debido a que, a medida que las empresas han mejorado en la protección de sus entornos, los atacantes maliciosos han recurrido a objetivos más fáciles y también han encontrado formas más creativas de hacer que sus esfuerzos sean difíciles de detectar y que tengan más probabilidades de alcanzar los objetivos deseables.

Estos son algunos tipos de ataques a la cadena de suministros:

• Ataques a servidores aguas arriba: el atacante infecta un sistema que está “aguas arriba” de los usuarios, como a través de una actualización maliciosa, que luego infecta a todos los usuarios “aguas abajo” que la descargan. Esto es lo que sucedió con el ataque a la cadena de suministro de SolarWinds.
• Ataques midstream: su objetivo son elementos intermediarios, como herramientas de desarrollo de software.
• Ataques de confusión de dependencia: explotan las dependencias de software privadas creadas internamente al registrar una dependencia con el mismo nombre pero con un número de versión más alto en un repositorio público. Es probable que la dependencia falsa se incluya en la compilación del software en lugar de la dependencia correcta.
• Ataques de certificado de firma de código y SSL robados: comprometen las claves privadas utilizadas para autenticar a los usuarios de sitios web seguros y servicios en la nube. Stuxnet entra en esta categoría.
• Ataques a la infraestructura de CI/CD: introducen malware en la infraestructura de automatización del desarrollo, por ejemplo, mediante la clonación de repositorios legítimos de GitHub.
• Ataques de software de código abierto: introducen código en las compilaciones que se propagan hacia abajo a quienes usan la compilación.

El impacto de los ataques a los proveedores puede tener consecuencias de largo alcance debido a las crecientes interdependencias y complejidades de las técnicas utilizadas. Más allá de los daños a las organizaciones afectadas y a terceros, existe un motivo de preocupación más profundo cuando se exfiltra información clasificada y la seguridad nacional está en juego o cuando pueden surgir consecuencias de naturaleza geopolítica.

Se pueden utilizar para realizar cualquier tipo de ciberataque , como por ejemplo:

• Violación de datos: los ataques a la cadena de suministro se utilizan comúnmente para realizar violaciones de datos. Por ejemplo, el hackeo de SolarWinds expuso los datos confidenciales de múltiples organizaciones del sector público y privado.
• Infecciones de malware: los ciberdelincuentes a menudo aprovechan las vulnerabilidades de la cadena de suministro para entregar malware a una organización objetivo. SolarWinds incluyó la entrega de una puerta trasera maliciosa, y el ataque de Kaseya resultó en un ransomware diseñado para explotarlos.

Los ataques a la cadena de suministro se están convirtiendo cada vez más en un problema crítico para el negocio que afecta las relaciones cruciales con socios y proveedores. Los ataques a la cadena de suministro son difíciles de detectar. Y el hecho de que un producto de software haya sido validado en el pasado no significa que el software sea seguro hoy.

Además de evaluar rigurosamente a los proveedores que utilizan, las organizaciones deben mitigar los riesgos de la cadena de suministro que las hacen vulnerables a los ataques. Esto requiere emplear tecnologías efectivas de prevención, detección y respuesta.

El informe revela que una organización podría ser vulnerable a un ataque a la cadena de suministro incluso cuando sus propias defensas son bastante buenas. Los atacantes exploran nuevas vías potenciales para infiltrarse en las organizaciones dirigiéndose a sus proveedores. Además, con el potencial casi ilimitado del impacto de los ataques a la cadena de suministro en numerosos clientes, este tipo de ataques se están volviendo cada vez más comunes.

Las siguientes son algunas recomendaciones sobre cómo las organizaciones pueden aumentar la seguridad de su cadena de suministro y evitar convertirse en una víctima:

• Emplee soluciones que incluyan detección de ataques basada en el comportamiento: la naturaleza sofisticada de los ataques a la cadena de suministro requiere que las organizaciones empleen el poder del análisis basado en el comportamiento, como indicadores de ataque (IOA) . Mitigar los riesgos en los que se incurre “cuando los buenos programas fallan” requiere tecnologías como el aprendizaje automático (ML) que pueden detectar patrones en cientos, miles o incluso millones de ataques por día , una hazaña que no se puede lograr solo con el conocimiento humano.
• Adelántese a futuros ataques a la cadena de suministro con inteligencia de amenazas: la inteligencia de amenazas le indicará cuándo surgen nuevos ataques a la cadena de suministro y le brindará toda la información que necesita para comprender el ataque y defenderse de manera proactiva.
• Mejore su preparación con servicios proactivos: Análisis de la cadena de suministro como parte de su evaluación de madurez de ciberseguridad y también realiza ejercicios de simulación con los clientes, donde simulan un ataque a la cadena de suministro. Esto brinda a los clientes una comprensión de su exposición actual y una hoja de ruta para mejorar la protección y la preparación para un ataque a la cadena de suministro.

Las recomendaciones para los clientes incluyen:

• identificar y documentar proveedores y prestadores de servicios;
• definir criterios de riesgo para diferentes tipos de proveedores y servicios, como dependencias de proveedores y clientes, dependencias críticas de software, puntos únicos de falla;
• seguimiento de los riesgos y amenazas de la cadena de suministro;
• administrar proveedores durante todo el ciclo de vida de un producto o servicio, incluidos los procedimientos para manejar productos o componentes al final de su vida útil;
• la clasificación de los activos y la información compartida o accesible a los proveedores, y la definición de los procedimientos pertinentes para acceder a ellos y manejarlos.

El informe también sugiere posibles acciones para garantizar que el desarrollo de productos y servicios cumpla con las prácticas de seguridad. Se aconseja a los proveedores que implementen buenas prácticas para la gestión de vulnerabilidades y parches, por ejemplo.

Las recomendaciones para los proveedores incluyen:

• garantizar que la infraestructura utilizada para diseñar, desarrollar, fabricar y entregar productos, componentes y servicios siga prácticas de ciberseguridad;
• implementar un proceso de desarrollo, mantenimiento y soporte de productos que sea consistente con los procesos de desarrollo de productos comúnmente aceptados;
• monitoreo de vulnerabilidades de seguridad reportadas por fuentes internas y externas que incluye componentes de terceros usados;
• mantener un inventario de activos que incluya información relevante para parches.